CCleaner アプリケーションが、アバストからのサプライチェーン攻撃の対象になっていました。この最新のサプライチェーン攻撃を他山の石として、自分たちのセキュリティ施策を見直してみてはどうでしょうか?
- ビジネスは、データを共有する顧客、ベンダー、パートナー、そしておそらく統合されたITシステムで構成されるサプライチェーンの一部です。
- サプライチェーン内のエンティティに対するサイバーセキュリティ攻撃が成功すると、ITインフラストラクチャおよびサプライチェーン全体の侵害につながる可能性があります。
また、顧客、ベンダー、パートナーのそれぞれが独自のサプライチェーンを持っていることも考慮に入れなければなりません。そのうちのどれか1つのサプライチェーンでもサイバー犯罪者の攻撃を受けると、そこから自社のITインフラストラクチャにつながるパスを見つけられてしまう可能性があります。
サプライチェーン全体を監視する必要
現在のビジネスは複雑なサプライチェーンエコシステムで機能しているので、社内のセキュリティ体制を管理するだけでなく、顧客、ベンダー、パートナーのセキュリティ体制も監視する必要があります。それぞれのエンティティが独自のサプライチェーンをどの程度監視しているかも確認しておくべきです。サードパーティーのさらに外側の第4、第5のパーティーへのサイバー攻撃が自社のデジタル資産への侵害につながる可能性さえあります。
サードパーティーのサービスプロバイダによってプロビジョニングされたクラウドプラットフォームを考えてみてください。クラウドデータセンターのデータセキュリティをチェックするのに、サービスプロバイダ(本質的には第4者)を利用することは非常によくあることです。そのセキュリティ会社は、給与支払いを外部委託している可能性がありますが、その外部委託会社は元のサプライチェーンエコシステムからすると実質的には第5のパーティーということになります。
もし、ハッカーが第5のパーティーである給与計算会社のITインフラストラクチャを侵害したなら、第4のパーティーであるセキュリティ会社のインフラストラクチャに侵入できる可能性があります。その次には、サードパーティーであるクラウドプラットフォームプロバイダへの侵入を試みるでしょう。それが成功したら、元のサプライチェーンエコシステムに到達するまでにそれほど遠くはありません。
リスクは無視できないほど大きい
サプライチェーンをたどってあちこちに侵入するにはかなり深いハッキングの専門知識が必要なのは事実ですが、だからといって不可能とは言えないので、サプライチェーン経由で侵害されるリスクの大きさは無視できるものではありません。サプライチェーン全体のセキュリティ体制を堅固にすることが重要です。
同時にまた、それぞれのサプライチェーンがサプライチェーンエコシステムの大元のセキュリティ保護体制に依存していることも十分認識する必要があります。サプライチェーン内で抜かりなくセキュリティ保護できるようにするためにITセキュリティ部門が担う責任は極めて重いものがあります。ITインフラストラクチャへの侵害が発生し、そこから顧客、ベンダー、パートナーのITインフラストラクチャへの侵入にまで波及してしまった場合、会社への信頼は地に落ち、取引中止につながりかねない深刻な打撃を受けます。
アバストのインシデントからの教訓
サプライチェーン攻撃に見舞われているのは、アバストだけではありません。CSOの記事は、Ponemon Institute の、56%の組織がベンダーに起因する侵害の被害に遭っているという調査結果を引用しています。CCleaner への攻撃試行に対して、アバストがどのように対応したかを確認し、そこから教訓を学び取ることができるはずです。
アバストの CISO、Jaya Baloo 氏による2019年10月のブログによると、アバストは、9月にネットワーク上の疑わしい動作に気づき、内部IPアドレスからディレクトリサービスが不正に複製されているのを発見しました。資格情報が侵害されたユーザーには管理者権限がありませんでしたが、攻撃者は、特権の昇格を通じて管理者特権を取得しました。
接続はイギリスでホストされているパブリックIPアドレスから行われており、アバストは、攻撃者がVPNサービスプロバイダを介して他のエンドポイントも使用していると判断しました。さらに分析を進めると、二要素認証を必要としない一時的なVPNプロファイルが、誤って有効なままになっており、そこから資格情報が侵害されて、内部ネットワークにアクセスされていたことが判明しました。
アバストは、この悪意ある攻撃者を追跡するため、修復アクションを実行する準備ができるまで、その一時的なVPNプロファイルをすぐにシャットダウンせず開いたままにしておきました。監視と調査と並行して、アバストは、エンドユーザーを保護し、製品構築環境とリリースプロセスの両方の整合性を確保するための予防措置を実施しました。
アバストは、2017年の CCleaner 侵害の場合と同様、今回のサプライチェーン攻撃の標的が CCleaner である可能性が高いと考えています。そして、セキュリティ強化策をさらに堅固になるよう拡張しました。次の CCleaner のリリースを停止し、以前の CCleaner リリースをチェックして悪意のある変更が行われていないことが確認できました。さらに、アバストは、製品のクリーンなアップデートに再署名し、ユーザーには自動更新でプッシュした上、以前のセキュリティ証明書を失効させました。
サードパーティーのサイバーリスク管理
まだインシデント分析は完了していないものの、現時点ではユーザーに対する攻撃の兆候は見つかっておらず、さらに上記の措置を講じたことで、アバストは CCleaner ユーザーが保護され、影響を受けていないと確信しています。損害が発生する前に、試みられていたサプライチェーン攻撃を停止させることができました。
このインシデントから明らかなように、どんな企業も同様のサプライチェーン攻撃に注意する必要があります。特に、ベンダーやパートナーが資格情報を共有するなど緊密に連携していると、VPN ゲートウェイなどのアクセスポイントは、サプライチェーン全体に横断的にアクセスできる機会を作り出すので、サイバー犯罪者にとって優先度の高いターゲットです。
サイバーセキュリティ攻撃は極めて巧妙になってきています。セキュリティ要件を定義し、サイバーリスク管理プログラムを策定する必要があります。その上で、デジタル情報を共有する顧客、ベンダー、パートナーのセキュリティ体制もチェックした方がいいでしょう。すべての関係者は、どのデータが利用可能であるか、誰がデータにアクセスできるか、どのように使用されるかについて明確にする必要があります。そのようにして初めて、共有デジタル資産が安全に保たれ、サプライチェーンのエコシステム全体がプロテクトされます。
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.